Здраствуйте!
Вот недавно скачал обновльнную версию авз.После полной проверки утилита обнаружила штук 20 файлов находящихся в папке Windows а большинство в system32,все они под подозрением или н троян или на rootkit,удалить я их немогу,поскольку ето глупо удалять файлы с систем32,но то что ети файлы заражены ето факт,поскольку касперский нерас выдавал мне опасность о заражении при етом личению файл не поддавался...
Я постоянно замечаю тормоз системы,иногда нехочет заходить в инет никаким способом,програма KasperskiAnt-Hack очень часто выдаёт сообщения типу какойто толи сервер или файл(чесно непомню а записать чтото недодумался)просит запроса или ответа на даный ай-пи 222.45.34.3 к примеру,и даёт выбр разрешить или заблокировать,ну я блокирую но ето ничё не даёт,поскольку через день два касперский или авз опять находит файл заражённый вирусом который сидит в систем32.....
Помогите пожалуйсто с советом,незнаю что делать!

Сделайте логи, как описано в правилах.-
http://virusinfo.info/showthread.php?t=1235

Сделал всё по правилам,извените за попешность.Сохранил оба лога от авз и джека в зип и тхт форматх.Жду ваших советов.

з.ы.ещёрас сори

Пришлите как описано в правилах:

В AVZ -"параметры поиска" выставить галочки "блокировать работу Rootkit User-Mode" и "блокировать работу Rootkit Kernel-Mode",
запустить сканирование. После окончания не выходя из AVZ поищите и пришлите как описано в правилах:

C:\WINDOWS\System32\perfont.exe
E:\Viewsonic.exe
%system32%\DRIVERS\netpt.sys
%System32%\Drivers\Klpf.sys
%System32%\Drivers\klpid.sys

1. E:\Viewsonic.exe - непонимаю откуда ето,посколько Е драйв ето виртуальный диск,никогда не бывает чемто заполнен,темболее припроверках он 100% был пуст
2. после проверки как вы сказали файла за адресом C:\WINDOWS\System32\perfont.exe
небыло обнаружено возможно авз его удалила.
3. В результате нашло ещё svchost.exe тоже под подозрением,но поскольку авп на него"материлось" значит ето тоже зловредный зараженный файл.Щас высылаю нужные файлы

из присланных:
netpt.sys
BitDefender Found Trojan.Downloader.Agent.DZ
Dr.Web Found Trojan.NtRootKit.76
F-Prot Antivirus Found W32/Rootkit.H
Fortinet Found W32/Agent.ACV-rkit
Kaspersky Anti-Virus Found not-a-virus:Monitor.Win32.NetMon.a
NOD32 Found Win32/Monitor.Netmon.A application
Norman Virus Control Found W32/Rootkit.AI

из присланных:
netpt.sys
BitDefender Found Trojan.Downloader.Agent.DZ
Dr.Web Found Trojan.NtRootKit.76
F-Prot Antivirus Found W32/Rootkit.H
Fortinet Found W32/Agent.ACV-rkit
Kaspersky Anti-Virus Found not-a-virus:Monitor.Win32.NetMon.a
NOD32 Found Win32/Monitor.Netmon.A application
Norman Virus Control Found W32/Rootkit.AI
Я просто ненаю какие файлы виндовсовские а какие "левые",но,ни один из файлов не лечится,хотя базы я стабильно обновляю,и стереть их немогу,опятьже потомучто незнаю какие юзает виндовс а какие нет.

В AVZ -"параметры поиска" выставить галочки "блокировать работу Rootkit User-Mode" и "блокировать работу Rootkit Kernel-Mode", запустить сканирование. Далее, не выходя из AVZ - AVZ GUARD -> Включить AVZGUARD. Файл - отложенное удаление - удалить с:\windows\system32\drivers\netpt.sys Закрыть AVZ, не отключая Guard, перезагрузиться и сделать новые логи.

вот логи после проведённой операции

Пришлите:
C:\WINDOWS\System32\wbem\wmiprvi.dll

P.S. "3. В результате нашло ещё svchost.exe тоже под подозрением,но поскольку авп на него"материлось" значит ето тоже зловредный зараженный файл." - этот файл удален АВП?

Пришлите:
C:\WINDOWS\System32\wbem\wmiprvi.dll

P.S. "3. В результате нашло ещё svchost.exe тоже под подозрением,но поскольку авп на него"материлось" значит ето тоже зловредный зараженный файл." - этот файл удален АВП?
нет,свхост екзе лечению не потдаётся и удалён быть неможет,антивирусом,а вручную я босюь,потомучто незнаю или ето файл винды заражен или ето именно тело вируса,что с ним делать?
C:\WINDOWS\System32\wbem\wmiprvi.dll - отправил

Если было срабатывание или "подозрение" на файл svchost.exe - поищите и пришлите:

sv?h?st.exe

1.Присылаю 2 файла,поскольку кроме svchost под подозрением находится ещё один
2.Происходит странная вещ,после того как я отсылаю тот или иной файл который был под подозрением-он пропадает после того как я высылаю вам на тест-авз болше ничё не выдаёт,буквально 10 митнут назад подозрительных файлов было штук 20,многи повторялись,а только что был svchost и всё,непойму....

кроме svchost под подозрением находится ещё один

"под подозрением" у кого?

пофиксите в HijackThis строки:
O4 - Startup: restart_vs.lnk = E:\Viewsonic.exe
O4 - User Startup: restart_vs.lnk = E:\Viewsonic.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = ?
O18 - Protocol: bt2 - {1730B77B-F429-498F-9B15-4514D83C8294} - (no file)
O18 - Filter: application/x-bt2 - {6E1DDCE8-76BC-4390-9488-806E8FB1AD77} - (no file)
O23 - Service: Performance True Type Font (PerfFont) - Unknown owner - C:\WINDOWS\System32\perfont.exe (file missing)
O23 - Service: Win32Sr - Unknown owner - C:\WINDOWS\win32ssr.exe (file missing)

плюс уже несколько раз просили отправить файл
C:\WINDOWS\System32\wbem\wmiprvi.dll
но мы его так и не получили...

под подозрением у увз,было,после проделанных операций проблема,я надеюсь,исчезла..Насчёт файла-я высылал несколько рас на мыло,но оказалось что почта неработает(глюк что-ли),поетому отослал по даной мне ссылке(https://virusinfo.info/upload_virus.php),толькочто.

This is a report processed by VirusTotal on 02/26/2006 at 00:02:46 (CET) after scanning the file "wmiprvi.dll" file.
Antivirus Version Update Result
AntiVir 6.33.1.50 02.25.2006 TR/Mutech.B
Avast 4.6.695.0 02.23.2006 no virus found
AVG 718 02.24.2006 Generic.QGR
Avira 6.33.1.50 02.25.2006 TR/Mutech.B
BitDefender 7.2 02.25.2006 no virus found
CAT-QuickHeal 8.00 02.25.2006 no virus found
ClamAV devel-20060126 02.24.2006 no virus found
DrWeb 4.33 02.25.2006 Trojan.DownLoader.6979
eTrust-InoculateIT 23.71.86 02.25.2006 Win32/Mutech!DLL!Trojan
eTrust-Vet 12.4.2095 02.24.2006 Win32/Cuthem.C
Ewido 3.5 02.25.2006 no virus found
Fortinet 2.71.0.0 02.25.2006 Mutech.E!tr
F-Prot 3.16c 02.25.2006 no virus found
Ikarus 0.2.59.0 02.24.2006 no virus found
Kaspersky 4.0.2.24 02.25.2006 no virus found
McAfee 4705 02.24.2006 no virus found
NOD32v2 1.1418 02.24.2006 Win32/TrojanDownloader.Agent.ACV
Norman 5.70.10 02.24.2006 no virus found
Panda 9.0.0.4 02.25.2006 no virus found
Sophos 4.02.0 02.25.2006 Troj/Mutech-E
Symantec 8.0 02.25.2006 no virus found
TheHacker 5.9.4.102 02.24.2006 no virus found
UNA 1.83 02.24.2006 no virus found
VBA32 3.10.5 02.24.2006 Trojan.Win32.TrojanDownloader.Agent.ACV


В AVZ - Файл -отложенное удаление, удалить C:\WINDOWS\System32\wbem\wmiprvi.dll, подтвердив удаление ссылок на него

Всё сделал,спасибо за хелп и понимание!

нет,свхост екзе лечению не потдаётся и удалён быть неможет,антивирусом,а вручную я босюь,потомучто незнаю или ето файл винды заражен или ето именно тело вируса,что с ним делать?
C:\WINDOWS\System32\wbem\wmiprvi.dll - отправил
По поводу svchost.exe:
- во-первых, он должен находиться в директории \Windows\system32\. Если файл не там - убивайте смело, это троян.
- если файл там и он подменен - скорее всего его можно переименовать (удалить - вряд ли, а переименовать винда позволяет). Предварительно надо приготовить дистрибутив винды, на CD-ROM. После переименования система запросит дистрибутив и восстановит файл оттуда.

ЗЫ: Правда, она еще может доставать зараженные копии из \Windows\system32\dllcache\, если этот файл там есть. Ну, или использовать восстановление системы - видимо, лучше его отключать в такие моменты.